5.2.8 操作安全
操作安全包含7个控制目标14个控制措施。
与信息处理和通信设施相关的系统活动应具备文件化的操作规程,例如计算机启动和关机规程、备份、设备维护、介质处理、计算机机房检查、邮件处置管理和安全规程等。操作规程要详细规定执行每项工作的说明和步骤。操作规程要形成正式的文件,其变更由管理者授权,并随时可供所需用户查阅。
对信息处理设施和系统的变更缺乏控制是系统故障或安全失效的常见原因。应制定对信息安全有影响的组织、业务流程、信息处理设施和系统变更制度和变更流程,并留存所有变更记录。在组织、业务流程、信息处理设施和系统有较大变更是及时开展风险评估,识别安全风险变化。
组织应根据组织业务发展的需求,考虑未来一定时间段内(一般是三到五年)相关系统业务能力容量要求(例如并发用户量、日新增数据容量、所需网络带宽),应对这些资源的使用进行监控,调整和定期预测未来的容量需求,以确保信息系统具备所需的系统性能。对未来容量要求的推测应综合考虑新业务、系统要求以及组织信息处理台邑力的当前和预计的趋势。
为防止组织业务生产系统故障,应将业务生产系统和其开发测试环境相隔离。